استخدام UNC5221 لبرمجية BRICKSTORM الخلفية لاختراق القطاعات القانونية والتكنولوجية في الولايات المتحدة
استهدفت مجموعة من المهاجمين الإلكترونيين المرتبطين بالصين، والمعروفة باسم UNC5221، شركات في مجالات الخدمات القانونية ومزودي البرمجيات كخدمة (SaaS) ومزودي خدمات العمليات التجارية (BPO) والقطاعات التكنولوجية في الولايات المتحدة، باستخدام برمجية خلفية معروفة تُدعى BRICKSTORM.
وفقًا لتقرير جديد شاركته مجموعة ماندينت ومجموعة جوجل للاستخبارات التهديدية (GTIG) مع The Hacker News، فإن هذه الأنشطة، المنسوبة إلى UNC5221 والمجموعات المرتبطة بها، تهدف إلى تسهيل الوصول المستمر إلى المنظمات المستهدفة لأكثر من عام.
يُعتقد أن الهدف من استهداف BRICKSTORM لمزودي SaaS هو الحصول على الوصول إلى بيئات العملاء أو البيانات التي تستضيفها مزودي SaaS نيابة عن عملائهم، بينما يُحتمل أن يكون استهداف المجالات القانونية والتكنولوجية في الولايات المتحدة محاولة لجمع المعلومات المتعلقة بالأمن القومي والتجارة الدولية، بالإضافة إلى سرقة الملكية الفكرية لتعزيز تطوير الثغرات الصفرية.
خصائص برمجية BRICKSTORM
تم توثيق BRICKSTORM لأول مرة من قبل عملاق التكنولوجيا العام الماضي فيما يتعلق باستغلال الثغرات الصفرية في Ivanti Connect Secure (CVE-2023-46805 وCVE-2024-21887). كما تم استخدامها لاستهداف بيئات Windows في أوروبا منذ نوفمبر 2022 على الأقل.
تأتي برمجية BRICKSTORM، التي تعتمد على لغة Go، مزودة بقدرات لتثبيت نفسها كخادم ويب، وإجراء عمليات على نظام الملفات والدلائل، وتنفيذ عمليات الملفات مثل التحميل والتنزيل، وتنفيذ أوامر شل، والعمل كوسيط SOCKS. تتواصل مع خادم القيادة والتحكم (C2) باستخدام WebSockets.
في وقت سابق من هذا العام، لاحظت الحكومة الأمريكية أن مجموعة التهديدات المرتبطة بالصين، المعروفة باسم APT27 (المعروفة أيضًا باسم Emissary Panda)، تتداخل مع تلك الخاصة بـ Silk Typhoon وUNC5221 وUTA0178. ومع ذلك، أخبرت GTIG The Hacker News في ذلك الوقت أنها لا تمتلك أدلة كافية لتأكيد الرابط وأنها تتعامل معها كمجموعتين منفصلتين.
استراتيجيات الاختراق
قالت GTIG: “تتم هذه الاختراقات مع تركيز خاص على الحفاظ على الوصول السري على المدى الطويل من خلال نشر برمجيات خلفية على الأجهزة التي لا تدعم أدوات الكشف والاستجابة التقليدية (EDR)”، مضيفة أنها استجابت لعدة اختراقات منذ مارس 2025.
تستخدم المجموعة أساليب للحركة الجانبية وسرقة البيانات التي تولد الحد الأدنى أو لا شيء من بيانات الأمان. وقد مكنها ذلك، جنبًا إلى جنب مع التعديلات على برمجية BRICKSTORM الخلفية، من البقاء غير مكتشفة في بيئات الضحايا لمدة 393 يومًا في المتوسط.
في حالة واحدة على الأقل، يُقال إن المهاجمين استغلوا الثغرات الأمنية المذكورة في أجهزة Ivanti Connect Secure للحصول على الوصول الأولي ونشر BRICKSTORM. لكن الوقت الطويل الذي قضاه المهاجمون في النظام وجهودهم لمسح آثار نشاطهم جعلت من الصعب تحديد متجه الوصول الأولي المستخدم في حالات أخرى لتسليم البرمجية الخبيثة على الأجهزة المستندة إلى Linux وBSD من عدة شركات.
هناك أدلة تشير إلى أن البرمجية الخبيثة قيد التطوير النشط، حيث تحتوي عينة واحدة على مؤقت “تأخير” ينتظر تاريخًا محددًا مسبقًا قبل بدء الاتصال بخادم C2 الخاص بها. وقالت جوجل إن نسخة BRICKSTORM تم نشرها على خادم VMware vCenter داخلي بعد أن بدأت المنظمة المستهدفة جهود استجابة الحوادث، مما يدل على مرونة مجموعة القرصنة في الحفاظ على الاستمرارية.
استراتيجيات إضافية
تتميز الهجمات أيضًا باستخدام فلتر Java Servlet خبيث لخادم Apache Tomcat يُدعى BRICKSTEAL لالتقاط بيانات اعتماد vCenter من أجل تصعيد الامتيازات، ثم استخدامه لاستنساخ خوادم Windows لنظم رئيسية مثل وحدات التحكم في المجال، ومزودي الهوية SSO، والخزائن السرية.
قالت جوجل: “عادةً ما يتطلب تثبيت فلتر تعديل ملف تكوين وإعادة تشغيل أو إعادة تحميل التطبيق؛ ومع ذلك، استخدم المهاجمون مُثبِّتًا مخصصًا قام بإجراء التعديلات بالكامل في الذاكرة، مما جعله خفيًا للغاية وألغى الحاجة إلى إعادة التشغيل”.
علاوة على ذلك، وُجد أن المهاجمين يستغلون بيانات اعتماد صالحة للحركة الجانبية للتنقل إلى بنية VMware التحتية وإقامة الاستمرارية من خلال تعديل ملفات init.d أو rc.local أو systemd لضمان بدء تشغيل البرمجية الخلفية تلقائيًا عند إعادة تشغيل الجهاز. تتضمن طريقة أخرى نشر واجهة ويب JSP تُعرف باسم SLAYSTYLE (المعروفة أيضًا باسم BEEFLUSH) لاستقبال وتنفيذ أوامر نظام التشغيل العشوائية المرسلة عبر طلب HTTP.
الهدف الرئيسي من هذه الحملة هو الوصول إلى رسائل البريد الإلكتروني للأفراد الرئيسيين داخل الكيانات المستهدفة، بما في ذلك المطورين، ومديري الأنظمة، والأفراد المعنيين في الأمور التي تتماشى مع المصالح الاقتصادية والتجسسية للصين. يتم استخدام ميزة وكيل SOCKS الخاصة بـ BRICKSTORM لإنشاء نفق والوصول مباشرة إلى التطبيقات التي تعتبر ذات أهمية للمهاجمين.
طورت جوجل أيضًا ماسح نصوص shell لمساعدة الضحايا المحتملين في تحديد ما إذا كانوا قد تأثروا بنشاط BRICKSTORM على الأنظمة المستندة إلى Linux وBSD من خلال الإشارة إلى الملفات التي تتطابق مع التوقيعات المعروفة للبرمجية الخبيثة.
قال تشارلز كارماكال، المدير الفني لشركة ماندينت للاستشارات في جوجل كلاود، في بيان تم مشاركته مع The Hacker News: “تمثل حملة BRICKSTORM تهديدًا كبيرًا بسبب تعقيدها، وتفاديها للدفاعات الأمنية المتقدمة، وتركيزها على الأهداف عالية القيمة”.
“يمكن الوصول الذي حصلت عليه UNC5221 من التنقل إلى العملاء من مزودي SaaS المخترقين أو اكتشاف الثغرات الصفرية في التقنيات المؤسسية، والتي يمكن استخدامها للهجمات المستقبلية. نشجع المنظمات على البحث عن BRICKSTORM وغيرها من البرمجيات الخلفية التي قد تكون موجودة على أنظمتها التي لا تغطيها أدوات الكشف والاستجابة (EDR)”.
